[nowość] Poznaj bezpieczeństwo Windows. Cześć pierwsza: usługi systemowe. Nowe, bezpłatne szkolenie od sekuraka!

Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138

21 lipca 2022, 10:48 | W biegu | komentarze 3

Wygląda to trochę jak backdoor.

Problem występuje w pluginie Questions for Confluence, a Atlassian pisze o temacie w ten sposób:

 The disabledsystemuser account is created with a hardcoded password and is added to the confluence-users group, which allows viewing and editing all non-restricted pages within Confluence by default. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access any pages the confluence-users group has access to.

„Szczęśliwe” credentiale to:

  • User: disabledsystemuser
  • Username: disabledsystemuser
  • Email: dontdeletethisuser@email.com
  • Password: [podrzucimy-w-update-newsa]

Co ciekawe, użytkownik nie jest usuwany, nawet jeśli usuniemy feralny plugin (użytkownika należy usunąć ręcznie):

Jeden z komentujących podatność słusznie zauważa:

The fact this something like this ended up in a production release is pretty mind boggling.
Really demonstrates a lack of good practices being followed for development/testing/approval for release to consumers.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Slawek
    Odpowiedz
  2. AntiTlassian

    Równie nienormalne wydaje mi się, że system wtyczek może sobie ot tak machnąć konto z takimi uprawnieniami. Ale od dawna uważam, że Confluence i Jira to takie WordPressy w świecie IT.

    Odpowiedz

Odpowiedz